GuiGui's Show

NOPE, NOPE, NOPE, NOPE ! On ne désactive pas DNSSEC au moindre problème ! C'est aussi idiot que d'accepter n'importe quel certificat x509 à l'aveugle ou d'enlever la capote avec un-e inconnu-e au motif que "ça gène un peu" ! DNSSEC sera déployé et il faudra faire avec, apprendre le fonctionnement du DNS en sa présence, apprendre à debug en sa présence !

1) Vérifier qu'unbound-anchor est installé. C'est lui qui se charge de créer le fichier root.key (qui contient la clé de signature de la racine DNS, pas la clé du récursif à qui l'on foward) quand la méthode purement DNS normalisée dans le RFC 5011, que le démon unbound applique quand il est configuré avec auto-trust-anchor-file, a échoué (ordi éteint trop longtemps au moment du roulement des clés de la racine, par exemple).

2) Exécuter : sudo unbound-anchor -a /var/lib/unbound/root.key puis redémarrer Unbound (pas obligatoire mais pour être sûr). Ça forcera la génération du fichier. Unbound-anchor est livré avec le matos pour vérifier cryptographiquement que la clé récupérée est la bonne.

3) Comprendre pourquoi le fichier /var/lib/unbound/root.key a disparu ou n'est plus à jour… Parce que la clé de la racine n'a pas changé récemment (et ça n'arrivera pas avant juillet-octobre 2017). Je n'ai pas eu de problème avec la dernière màj Debian de Linux.